IBMは6月20日、Db2 for IBM iの物理ファイルトリガーを構成する機能に脆弱性があり、特権昇格を受ける恐れがある、と発表した。
影響を受けるIBM i OSバージョンは、
IBM i 7.5
IBM i 7.4
IBM i 7.3
IBM i 7.2
以下の脆弱性が指摘されている。
CVE-2024-27275
Db2 for iには権限要件に起因する脆弱性があり、特権を持たないユーザーでもDb2 for IBM iの物理ファイルトリガーを構成することが可能になり、特権昇格の恐れがある。
CVSS 基本スコア:7.4(重要)
対処法
修正用のPTFは、Security Bulletinの当該ページに多数リストされている。
・Security Bulletin: IBM i is vulnerable to a privilege escalation due to the ability to configure a physical file trigger in Db2 for IBM i. [CVE-2024-27275]
https://www.ibm.com/support/pages/node/7157637
[i Magazine・IS magazine]
